Открытое письмо директору ФСТЭК В.В.Селину

Аватар пользователя Атаманов Геннадий
Автор: Атаманов Геннадий,
(62)
()
Опубликовано в:

7 декабря на офциальном сайте ФСТЭК России для обсуждения были размещены два проекта приказов. Прочитав оба я пришел к однозначному выводу: качество их разработки ещё ниже, чем у предыдущих НПА, вышедших из-под пера ФСТЭК, что подтверждало давно уже сделанный вывод: качество каждого последующего документа ниже предыдущего. Причём во всех отношениях. Появилось желание помочь разработчикам взглянуть на плоды своего труда через призму медологии научной и законотворческой деятельности. Ведь НПА такого уровня должен быть безукоризненным со всех точек зрения. И, главное, он должен быть понятен не только специалистам, научившимся за долгие годы понимать "птичий" язык, выискивать смысл там, где его, может быть, и не было, пытаться выполнить то, что по определению выполнить невозможно, а, главное, абсолютно не нужно. А то, что нужно, того нет.

Я долго думал, что и как можно было бы сделать, и не придумал ничего лучше, как обратиться напрямую к директору ФСТЭК. И выбрал для этого форму "открытого письма". Адресату (вернее - в возглавляемую им организацию) оно было отправлено 14.12.2012 г. Я выдержал паузу и вот сегодня выношу его на суд общественности. Оно представлено здесь без приложения (в нем ведь целых 40 страниц текста). При необходимости и возможности его тоже можно будет разместить (с купюрами для уменьшения объёма).  Но пока только письмо:

______________________________________________________________________________

Директору ФСТЭК России

Селину В.В.

ОТКРЫТОЕ ПИСЬМО

 

Уважаемый Владимир Викторович!

 

Знаю Вас как грамотного специалиста, порядочного человека, умного и требовательного руководителя. Искренне радовался, когда Вас назначили на должность директора ФСТЭК. Эта радость была обусловлена ожиданиями перемен в деятельности организации, которую Вы возглавили.

У меня сложилось впечатление, что ФСТЭК с момента своего создания сделало ставку преимущественно на выполнение контрольных функций, в то время как главная функция ФСТЭК должна быть не контрольной, а методологической и законотворческой, что и отражено в Положении о ФСТЭК, и даже в её структуре. Этого же требует и наука. Согласно системной теории система более высокого структурного уровня не должна ни управлять, ни даже соуправлять процессами, происходящими в системах низшего структурного уровня. Она должна задавать т.н. «опорные точки», служащие для систем более низкого  структурного уровня своеобразными стандартами, с помощь которых, в том числе, задаётся вектор их развития. Однако в течение достаточно продолжительно периода времени «из-под пера» ФСТЭК не вышло, практически, ни одного методического пособия, именно пособия, а не указания, помогающего, а не обязывающего, грамотного, а не методологически и методически несостоятельного «опуса». Именно – «опуса». Последнее время документы ФСТЭК отличает квазинаучный стиль изложения. При прочтении таких «документов» создаётся впечатление, что их авторы вообще не знакомы с методологией научной и законотворческой деятельности. Настолько много в них логических ошибок. Иногда встречаются и грамматические. Нормой стало использование в нормативных правовых актах сленга. Но что позволительно в разговоре в курилке, не позволительно в письменной речи, тем более, в нормативном правовом акте. О некоторых «ляпах» из этой серии я высказывался на форумах и писал в своих статьях, большинство из которых имеется в открытом доступе в Интернете. Некоторые проекты документов со своими замечаниями присылал на официальный сайт ФСТЭК. Поэтому считаю возможным сейчас писать об этом без конкретизации. При наличии у Вас желания ознакомиться с ними я готов в любой момент их Вам предоставить.

В этот раз направляю свои замечания к проекту приказа ФСТЭК России «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Мне доводилось читать разные документы, но такой – откровенно слабый или, напротив, гениально-иезуитский – вижу впервые. Прочтение некоторых его положений вслух вызывало просто гомерический хохот моих коллег. Но после осознания возможных последствий тех идей, которые там излагались, а, ещё хуже, - имелись в виду, все приходили в полное уныние.

После внимательного изучения текста указанного проекта у меня сформировалось однозначное мнение: принятие документа в том виде, в котором он представлен на сайте, невозможно! В нём просто огромное количество логических и стилистических ошибок. На некоторые из них я указал в своих «замечаниях», выполненных в виде примечаний к тексту проекта, скопированного с официального сайта ФСТЭК. Этот документ не просто методологически, методически и стилистически несостоятелен, он абсурден и принципиально невыполним. Любая косметическая корректировка не приведёт к его улучшению. Он не пригоден в принципе. Это ярчайший образчик издевательства над логикой, здравым смыслом и ставшим бедным, некогда богатым, русским языком.

Предлагаю наказать тех, кто сочинял эти Требования, и поручить написать другие, правильные. Только поручить не тем же исполнителям. Они напишут, примерно, то же, только ещё хуже. Об этом свидетельствует динамика внесения изменений в исходный текст. В столь уважаемой организации наверняка имеются грамотные специалисты, способные выполнять задачи такого уровня с должным качеством.

Возможно, я был несколько эмоционален и где-то не совсем прав. И именно поэтому считаю не только возможным, но и необходимым разместить это письмо и свои замечания в Интернете, чтобы коллеги и просто заинтересованные люди могли высказать своё мнение по поводу изложенных в нём мыслей, поддержать, дополнить или опровергнуть их, а так же указать мне на мои ошибки.

 

Приложение: проект приказа ФСТЭК России «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» с замечаниями (файл: pr_za_red AGA.docx, 158 КБ).

 

С уважением и надеждой, что буду услышан и правильно понят,

Атаманов Г.А.,

кандидат философских наук,

1982-2002 гг. сотрудник Гостехкомиссии,

 полковник запаса.

13 декабря 2012 г.

 

 

Оцените материал:
Total votes: 114
Тэги: 
 
Комментарии в Facebook
 

Комментарии на сайте

Аватар пользователя Romazi

Браво!

 

up
18 users have voted.
Аватар пользователя Lindt

Геннадий, а где-нибудь 40 страниц приложения можно посмотреть? Иначе картина складывается неполная. Пришите файл - мы выложим.

up
20 users have voted.
Аватар пользователя e.v.rodygin

кандидата философских наук, полковника запаса - это шутка юмора ?

up
28 users have voted.
Аватар пользователя Lindt

А в чём вы видите противоречие? 

up
20 users have voted.
Аватар пользователя e.v.rodygin

Может быть правильнее:

 

С уважением и надеждой, что буду услышан и правильно понят,

Атаманов Г.А.,

кандидаТ философских наук,

1982-2002 гг. сотрудник Гостехкомиссии,

 полковниК запаса.

up
20 users have voted.
Аватар пользователя Lindt

Так и есть...

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

Е.Родыгину: спасибо за подсказку. Читал-перечитывал не один раз и всё равно пропустил. Это следствие выбора вариантов. Первоначально было "Открытое письмо Г.Атаманова ...". Механически перенёс ... и вот, оконфузился. Ещё раз: спасибо. 

up
12 users have voted.
Аватар пользователя e.v.rodygin

Это из-за эмоциональности.... 

up
14 users have voted.
Аватар пользователя Атаманов Геннадий

В том числе .... А ещё: поспешишь, людей насмешишь. Старые, избитые, но вечные истины. 

up
24 users have voted.
Аватар пользователя Ржавский Константин

Ну что же, состоялось ...... Очень интересный документ с точки зрения Альтернативного мнения и попытка вернуться к подходам защиты информации когда это еще кому то было нужно! Мнение не бесспорное но в общем и целом ПРАВИЛЬНОЕ! Не будет единой системы понятий - будет хроническое не понимание "Что делать?" между оператором-интегратором и Регулятором!

up
25 users have voted.
Аватар пользователя vsv

Уважаемые коллеги, комментирующие это открытое письмо и уажаемые коллеги, которые будут комментировать это открытое письмо! А чего Вы хвалите? Блескучую обертку в виде "письма" в которм содержатся красивые лозунги? Хочу Вас спросить: а Вы читали комментарии г-на Атаманова? Нет? А я прочитал! И стало мне грустно и обидно. (Жалко, пятница, конец дня, а у меня настроение испортилось). Грустно от того, что я понял - в письме - чистейший воды самопиар, а комментариях - полная ахинея. Почитайте. Выкладываю свои комментарии на комментарии г-на Атаманова (правда только первых 10 страниц - больше у меня духу не хватило).

Но, все же по теме. Комментарии г-на Атаманова свидетельствуют о следующем (краткие выводы):

1. Рецензент СОВЕРШЕННО не знаком с терминологическим аппаратом. Ни с тем, который приведен в законах, ни с тем, который приведен в стандартах по ИБ. Ярчайший пример - не знание определения "угрозы безопансооти информации", "оператор информационной системы" и прочая.

2. Рецензент считает себя ЗНАТОКОМ великого и могучего русского языка, между тем даже не удосужился заглянуть в словарь , например, в Большой современный толковый словарь русского языка под ред. Т. ФЫ. Ефремовой, в которм ДАЮТСЯ правила правописания предлогов. Не спорю, "Требования О защите" звучит непривычно, но, во-первых оно ТАК прописано в ФЗ-149, а во-торых, это ДОПУСТИМАЯ норма русского языка.

3. Комментарии Рецензента не НЕ СОДЕРЖАТ НИ ОДНОГО предложения или замечания относительно сути требований и, в основном, сводятся к критике (не всегда оправданной) правильности применения русского языка и терминологического аппарата.

Так, что, как говорится, давайте встречать по одежке, а провожать по уму.

 

 

up
14 users have voted.
Аватар пользователя e.v.rodygin

"Ярчайший пример - не знание определения "угрозы безопансооти информации""

- Нам нужно отдохнуть...

up
24 users have voted.
Аватар пользователя vsv

Да, Евгений, согласаен, грешен - когда спешу, текст не перечитываю, попадаются очепятки... Но я стараюсь работать над этим недостатком.

up
14 users have voted.
Аватар пользователя safronov

Присылайте на pr@dlp-expert.ru с пояснением чего и куда - выложим обязательно.

up
22 users have voted.
Аватар пользователя vsv

Обязательно пришлю, только в понедельник. Сейчас нет под рукой, а ехать - далеко.

up
25 users have voted.
Аватар пользователя Lindt

Сергей, комментарии Ваши выложили - ссылка на них непосредственно в тексте Вашего комментария

up
11 users have voted.
Аватар пользователя vsv

Да, еще пару слов. Во-первых, мои комментарии даны со ссылками на ГОСТЫ, законы и прочая. А во-торых, поддержу мнение А. Лукацкого по обсуждению новых документов ФСТЭК. http://lukatsky.blogspot.ru/

up
29 users have voted.
Аватар пользователя Атаманов Геннадий

Г-н Вихорев, а Вы знаете, я с Вами отчасти согласен. После первых комментариев к письму перечитал свои комментарии к Требованиям и подумал: скучно, да и вряд ли кто поймёт. К счастью ошибся. Такие всё же есть - Zzubra, Ржавский. Надеюсь, будут ещё. Не оскудела же земля русская ....  

Обвинения в самопиаре - вещь не новая и по мнению многих  безотбойная. Но ко мне не имеет никакого отношения. Некоторые пробовали уже. Убедились, что это не так. Вас переубеждать не буду. Мне ни пиар, ни самопиар не нужен. Я денег этим не зарабатываю. Даже наоборот. И на дешёвые трюки не разменивался и не собираюсь. Это - первое.

Второе. А где Вы у меня нашли, что я анализировал эти документы с точки зрения конституированной терминологии. Я сразу и однозначно заявил, что веду анализ с точки зрения методологии науки (т.е. логики) и здравого смысла. Кроме того, неоднократно подчёркивал, что подавляющее большинство (если не ВСЕ) определений, касающихся информационной сферы и ИБ в т.ч., в ГОСТАХ и законах РФ не соответствуют законам логики. Эти - не исключение. 

Третье. Знатоком русского языка себя не называл, нигде об этом не говорил и не писал. Но более-менее грамотно писать умею. Многому научился в школе, а кое-чему меня научили в Гостехкомиссии. С благодарностью вспоминаю своего первого командира - Тохтенкова Николая Алексеевича. Кое-чему учился сам и продолжаю это делать постоянно. Что рекомендую делать и остальным. Особенно тем, кто пишет законы и подзаконные акты. 

И четвёртое. О какой сути в этом хаосе может идти речь? Выуживать крупицы разумных мыслей в мутном потоке белиберды, скрывающем лоббисткие цели? Более развёрнутые пояснения по этому вопросу можно прочесть здесь: http://www.blogger.com/profile/04116790425053577120. И предложения, конкретные, там же. Не хочу повторяться. 

up
10 users have voted.
Аватар пользователя vsv

Уважаемый Геннадий Альбертович, безусловно, каждая позиция имеет право быть. Но, честно, когда прочитал Ваш ответ, на ум пришла сцена из старого украинского фильма «за двумя зайцами». Помните, когда Голохвасотв пришел к Проне Прокоповне, у них завязалась научная беседа на тему «чем отличается человек вчёный, от человека невчёного». Тогда Голохвастов очень метко заметил: «…когда тому, одному, которому не ученому, будет белое, так уже ему, вчёному, которому, будет уже как... - Зеленое? - Нет, рябое!» Неужели Вы искренне верите в то, что вся терминология в области ИБ, которая приведена в законах и стандартах «рябое»? Понимаю, что терминологические споры самые страшные, но разве можно рассуждать в предметной области и отвергать ту терминологию, которую уже далеко не первый год используют все специалисты. Это же абсурд! Получается, что все идут не в ногу, а Вы один – в ногу. Ну, и потом, мы все-таки строим правовое общество, поэтому  давайте не забывать: dura lex, sed lex.

 

up
24 users have voted.
Аватар пользователя e.v.rodygin

Мне самым важным кажется вопрос: как правильно:

Требования к защите или требования о защите?

защита = процесс.

Требования о процесс - как то странно.

Требования к процессу - уже лучше.

А в общем, я попробую помирить коллег! Мы смотрим с разных точек зрения. Мы это и разработчики и потребители и специалисты и графоманы и остальные... 

Считаю, что еще до определения терминов нужно всем четко понять для кого этот документ и какова его цель! Если мы хотим помочь оператору - то делать простой документ. Если для спецов то не нужно разжевывать общий порядок... Всем не угодишь...

up
20 users have voted.
Аватар пользователя vsv

Евгений, согласно словаря Ефремовой, предлог "о" употребляется при указании на объектно-определительные отношения, характеризуя управлящее слово, раскрывая или уточняя его содержание. В данном случае "требования" - управляющее слово, "защита" - уточняющее слово, раскрывающее содержание управляющего. Поэтому в данном контексте "защита" это не процесс, а уточнение. и читать надо "слитно" : "Требования о защите" в смысле "требования защиты", а не требования к процессу защиты. (Извини, какой-то "сон про не сон").

И еще, очень правильная мысль: целевая аудитория документа определяет его стиль и содержание! Поддерживаю полностью!

up
19 users have voted.
Аватар пользователя Атаманов Геннадий

 

Сергей Викторович! Вы назадавали мне кучу вопросов и оставлять их совсем без ответа считаю нетактичным.

Вы спрашиваете: «Неужели Вы искренне верите в то, что вся терминология в области ИБ, которая приведена в законах и стандартах «рябое»?

Отвечаю: Я не верю, я знаю!

Вы пишите: «Понимаю, что терминологические споры самые страшные, но разве можно рассуждать в предметной области и отвергать ту терминологию, которую уже далеко не первый год используют все специалисты».

Отвечаю: «Специалисты» многие века считали, что Земля держится на трёх слонах (китах, черепахах) и что она плоская. И сжигали тех, кто пытался доказать иное.

Вы пишите: «Получается, что все идут не в ногу, а Вы один – в ногу».

Отвечаю: А помните, что ответил учитель физкультуры десятикласснику в фильме «Доживём до понедельника» на подобный вопрос про роту? Он сказал: «Может! Если рота тупо стучит сапогами».

Вы пишете: «Хаос возникает, когда нет понимания терминологии».

Отвечаю: Замечательные слова. Ключевое слово – понимание! Для этого термины должны быть не плохо логически и стилистически связанными нагромождениями слов, а легко понимаемыми логически стройными дефинициями.

Вы пишете: «Мне больше импонирует позиция многих экспертов, которые дают конкретные предложения по существу».

Отвечаю: Я дал конкретное предложение: переработать документ. В таком виде его принимать нельзя.

Вы пишите: «Ошибки, конечно, кое-где есть и их надо исправлять. Исправлять! Но в рамках устоявшихся терминов, а не выдумывать «логически верные» термины».

Отвечаю: Если устоявшиеся термины «рябые», их следует чистить, потому что весь текст будет «рябым». Но там ещё есть масса «неустоявшихся» терминов и оборотов из американских ГОСТов, переведенных гугловским переводчиком. 

up
21 user has voted.
Аватар пользователя Ржавский Константин

Сергей! Конечно, все вроде как по классике: термин – подперли  определением из закона или стандарта, но …. Существует одно НО – это не только тезаурус в области ИБ, но еще и тезаурус ИТ, АС, ТК которые ну никаким образом не стыкуются с ИБ - ? …… или мы не на них работаем? Далее еще интересней, попробуйте построить онтологию системы ИБ и состыковать её с онтологией ИТ, АС, …ТК, ну так ради интереса!? А на счет здравого смысла …. ну простите уже,…. устали работать по написанному не «по здравому смыслу», а по тем НПА и «кем то вольно интерпретированным зарубежным стандартам», которые родились во времена, когда «здравый смысл» был утерян казалось бы навсегда! И еще маленький вопросик, Сергей – Вы и вправду верите, что одни и те же ПД хранимые в разных ИС (Гос, мун или общих) – это по сути разные данные и их надо защищать различными способами и методами?

Евгений, я тот редкий случай «два в одном» - я и интегратор, я и лицензиат разработчик. Уверяю Вас бизнес-процессы и там и там одни и те же, вот только привлекают к их реализации разных людей, а я так думаю, что «сапоги должен тачать сапожник» и бизнес –процессы должны затачиваться под специалиста, а кто он (в какой роли сейчас) это не важно интегратор он или разработчик или регулятор. Библия она одна!

up
30 users have voted.
Аватар пользователя e.v.rodygin

Константин! Меня уверять не нужно... Понятиями веры не оперирую...

Ваше упоминание библии показывает, что вероятно, вы воспринимаете сей документ как основопологающий и отводите ему роль большую чем оранжевой книге...

но имхо вы все равно не учитываете точку зрения операторов. Мне кажется им было бы интересно видет документ в котором в режиме комиксов расписан алгоритм - делай раз делай два без наукоемких составляющих или сведенных к минимуму.

Попытки сформировать в короткое время всеобемлещий документ приводит к тому, что он несвязный и с разной плотностью наукоемкости и конкретики по содержанию. 

Остается брльшой задел для интеграторов для толкования и формирования комиксов для операторов... 

Ну и конечно ваше "бизнес - процессы должны затачиваться под специалиста"  ноу коммент... 

up
21 user has voted.
Аватар пользователя vsv

Константин, давайте читать документ правильно, а не так как хочется. Первое. Требования предназначены для защиты информации в ГИС. Для ГИС, которые одновременно являются еще и ИСПДн – есть сопоставление уровня защищенности ПДн с классом защищенности самой ГИС (п. 5 Приложения 1). Следовательно, сама классификация ГИС это не одно и тоже, что уровни защищенности ПДн. Критериями классификации ГИС документом определены уровень значимости информации и масштаб самой информационной системы. Уровень значимости определяется степенью возможного ущерба (п.2) – и это уже само по себе прогрессивно! Масштаб ГИС определяется ее размахом и наличием сегментов на нижнем уровне (п.3). То есть, масштаб это функция от объема обрабатываемой информации, степени ее агрегации и структуры телекоммуникационной составляющей. На мой взгляд здесь пока все логично: чем выше степень агрегации информации и чем выше возможный ущерб от нарушения ее свойств, тем сильнее должна быть защита, то есть должен быть выше класс защищенности ГИС.

 

Теперь посмотрим на ПП-1119. Для выбора уровня защищенности ПДн (обратите внимание не ИСПДн, а именно ПДн – это новая парадигма) Постановление  определяет: тип актуальных угроз, объем ПДн, тип ПДн, принадлежность ПДн к сотрудникам оператора. Теперь посмотрим конкретно на 1-й уровень защищенности ПДн. Для этого уровня характерно обработка более 100000 субъектов ПДн либо ведется обработка специальных или биометрических ПДн при угрозах 1 типа.

 

up
12 users have voted.
Аватар пользователя Ржавский Константин

Евгений, совершенно верно, неоднозначность интерпретации документов уровня «как надо делать» - и есть то, что мешало, мешает и …. ничего нового, в этом плане, я не увидел в нынешних проектах.

Сергей, все верно, все правильно в том векторе который видите Вы, но предлагается немного по другому взглянуть на эту проблему, вот смотрите (один из примеров) «степень возможного ущерба определяется обладателем информации, заказчиком и (или) оператором самостоятельно экспертным или иными методами ….», как Вы думаете тут ни какой коррупционной составляющей нет?, я о том что это шоковая ситуация для оператора: ну какой-нибудь, глубоко районной, администрации (Вы когда-нибудь работали в глубинке и какие чувства у Вас при этом возникали?), где Все про Всех Всё! Далее они зовут на помощь …. лицензиата, а вот как он себя может повести, причем совершенно законно и обосновано (благо документы ему это позволяют), зависит только от его финансовых проблем, а самое интересное ни кто и не приедет проверять эту администрацию (из регуляторов) – НИКОГДА, уж извините практика! А про то, что бы этот регулятор приехал туда, или позвал к себе, и рассказал, ЧТО ЕМУ (оператору из Глубинной …) НАДО ДЕЛАТЬ И КАК ПОСТУПИТЬ В ЕГО, КОНКРЕТНО ЕГО, СИТУАЦИИ! (Евгений это я про них, про эти бизнес-процессы!) - да никогда! Позвонит эта Администрация на верх и доложит номер Аттестата соответствия + приложит Акт выполненных работ на энную сумму денег Государевых, вот и весь итог этого Проекта.

И потом все (хорошо не всё, а 99% документов) разрабатываемые сейчас и предлагаемые в этом Проекте делаются исключительно для проверяющего – 99% - Вам это нравится?

Мне не нравится, что за спиной уходящего, довольного (порой, чего уж там, сытого) регулятора, оператор нервно крестится и костерит его по чем зря!

up
38 users have voted.
Аватар пользователя e.v.rodygin

Ни ни... Меня вообще все в этой вселенной устраивает... Никого ни от кого не защищаю...

up
38 users have voted.
Аватар пользователя vsv

Константин, (немного странно, конечно, начали разговор с г-ном Атамановым, а беседа завязалась с Вами, но я рад), и тоже немного резко, По поводу «дурака с инициативой», могу ПОЛНОСТЬЮ с вами согласиться, но, кажется, это вопрос не ко мне, а скорее к г-ну Атаманову. Я ведь тоже родом из Гостехкомиссии, только из центра, и тоже видел, что регионалы, наши, свои, делают. И ругали, и наказывали – к сожалению не всегда помогает. Но это не беда документов, а беда «спецов» и их самосознания. А что на зеркало кивать, коль рожа крива?

 

Теперь о глубинке. Я уже говорил, что надо читать документ, а не додумывать. Вот если каждую фразу додумывать, то можно такой геморрой себе заработать… Написано: степень возможного ущерба определяется обладателем информации, заказчиком и (или) оператором самостоятельно экспертным или иными методами, так и определяй самостоятельно. И если ты считаешь, что ВСЕ ВСЁ и про ВСЕХ – значит ущерб минимальный и не парься! Только не верю я в то, что все и про всех. Да и вообще, мне кажется, что у Вас идет подмена понятий. Давайте еще раз вспомним, что это требования к ГИС, а не к ИСПДн, и в ГИС есть другая информация, которая подлежит защите. Почувствуйте разницу. Ну, и, конечно, не надо беды муниципальных чиновников списывать  на безграмотных лицензиатов в регионах. Если Вы считаете, что лицензиаты действуют не правильно, так и боритесь с этим злом. При чем здесь требования? Так можно договориться до того, что вообще никакие требования не нужны: «А что подумает княгиня Марья Алексеевна…»

 

up
21 user has voted.
Аватар пользователя Игорь Ю Шахалов

Удручающее впечатление осталось у меня и моих коллег после прочтения этого открытого письма.

Сразу заметно, что автор «за отдельными деревьями не увидел леса». Сам документ весьма важен и нужен, он выводит нормативно-методический аппарат ФСТЭК России на более высокий современный уровень и это нельзя не заметить! Автор же не хочет видеть очевидное.

В принципе, Геннадий Альбертович ничего нового, что противоречило бы его псевдореволюционным взглядам на государственную систему защиты информации Российской Федерации и на принятую в ней терминологию, не сказал. Обычные его нападки по типу «всё плохо» с концепцией изменения ситуации путём применения карательных мер: «всех наказать и уволить!». На этом конструктивизм автора заканчивается.

Но! Если раньше автор «критиковал» (нет, неправильно, скорее занимался критиканством) положений и терминологии в действующих нормативных правовых актах (Указах Президента РФ, федеральных законах, постановлениях Правительства РФ и т.п.), то теперь он обратил свой взор на документ, который разработан на основе этих НПА и поэтому, вполне естественно использует все их требования. Автор навязывает свою точку зрения на стилистику, изложение, даже не взирая на то, что многие стилистические обороты взяты (процитированы) из действующих НПА.

Комментарии автора носят поверхностный анализ, совершенно не научный ни по глубине проработки, ни по стилю изложения, выполненные к тому же в грубовато-шутливой форме, что никак не вяжется с этическими нормами, принятыми в научной среде. Кроме того, эти комментарии пропитаны негативом, не несут никакой конструктивной идеи и заставляют думать об, извините, непрофессионализме автора. Этот вывод можно сделать по следующим критериям:

- не владеет общепринятой терминологией контрмер,

- не понимает основополагающих понятий ИБ – угрозы, периметр и т.п.,

- не владеет общепринятыми в среде ИБ техническими терминами,

up
17 users have voted.
Аватар пользователя Атаманов Геннадий

 

Господин Шахалов, спасибо, что уделили моей скромной персоне столько своего драгоценного времени! Вот только зачем уделять столько внимания автору, если он:

- не владеет общепринятой терминологией контрмер (кстати, а что такое «терминология контрмер»? Действительно не знаю. И, заметьте, не стесняюсь в этом признаться. Сами придумали? Тогда откуда ж мне знать?),

- не понимает основополагающих понятий ИБ – угрозы, периметр и т.п. (это – да! В том виде, в котором они приведены в проекте, не понимаю и не принимаю.),

- не владеет общепринятыми в среде ИБ техническими терминами (а вот это – нет!),

- не понимает сущности программных ресурсов (опять – да! При случае объясните, в чём же состоит сущность ресурсов?),

- абсолютно не понимает такое понятие, как «оценка соответствия» (понимать понятие – это что-то вроде «грабить награбленное» или как?).

Интересно, а на основании каких данных Вы сделали все эти «выводы»? Это критика или критиканство?

Справедливости ради должен признать, что есть объективные моменты. Каюсь, действительно допустил в некоторых местах шутливый тон. Но как прикажете реагировать на 40 страниц, мягко, - не очень хорошо согласованного текста? Конечно, устаёшь. Это меня не оправдывает, знаю, но это многое объясняет.

И опять это пресловутое обвинение в самопиаре. Отвечать не буду. Уже есть в разных вариантах в других постах. Больше всего мне самому понравилось в ответе Вихореву, в посте «Неотправленное письмо». Да, про хамство там же.

А кто Вам сказал, что мне кто-то подсказал «заменить оскорбительную фразу: «все коллеги ржали» из основной редакции письма на: «гомерический хохот»»? Вы фантаст или ясновидящий? А если учесть, что в моём тезаурусе нет слова «ржали», то получается у Вас «описка по Фрейду»? Знаете, это очень грубая методологическая ошибка – судить по себе о других.

up
22 users have voted.
Аватар пользователя Игорь Ю Шахалов

Геннадий Альбертович!

Конечно же, каждый из нас имеет право на собственное мнение.

Вопрос только в том, на мой взгляд, КАК это мнение доводить до окружающих и с КАКИМИ целями. Ведь если разговаривать на одном языке, вежливо, спокойно и, самое главное, СЛЫША друг друга, то ведь получается красиво, неправда ли? Пример – дискуссия Сергея Викторовича Вихорева и Константина Ржавского.

Согласны?

Это очень просто – не надо всем навязывать своё вИдение ситуации, надо обсуждать.

Опять – таки моё сугубо личное мнение.

 

P.S.

По поводу фразы, которой нет у Вас тезаурусе. Странно. Вроде бы не я один её видел в первоначальном варианте письма. Или показалось?

 

 

up
19 users have voted.
Аватар пользователя Атаманов Геннадий

Я предвидел возможные фальсификации с целью дискредетации, поэтому направил письмо в формате pdf. Оригинал имеется. Никакого первоначального варианта не существует. А если и существует, то это фальшивка. 

Стараюсь соблюдать главные принципы обеспечения информационной безопасности по Атаманову:

1. достоверность;

2. доступность;

3. достаточность. 

up
16 users have voted.
Аватар пользователя vsv

Не знаю как в pdf, но я скачал в Вашем письме документ в doc. Может и DLP- эксперт не то выложил?

up
14 users have voted.
Аватар пользователя Атаманов Геннадий

 

На DLP-эксперт письмо я сам выкладывал. В  doc. только приложение. Не доверять персоналу сайта нет оснований. 

up
17 users have voted.
Аватар пользователя Игорь Ю Шахалов

Я, к сожалению, не скачал документ сразу, поэтому не могу Вам представить ту версию, которую видел и я и мои коллеги. Никакого желания или повода заниматься фальсификацией у меня нет. Да и не занимался я этим никогда.

Более того, именно эта фраза "зацепила" меня и заставила подробно ознакомиться с Вашим письмом и замечаниями по документу, что и вызвало мой комментарий.

Генадий Альбертович, на мой взгляд, даже не важно какая фраза была. Негативно-эмоциональный смысл письма от этого не меняется. 

На этом обсуждение данной темы со своей стороны считаю законченным.

С наступающим Новым годом и творческих успехов в 2013 году!

 

up
10 users have voted.
Аватар пользователя Ржавский Константин

Сергей – «… а беседа завязалась с Вами, но я рад….» - чем больше мнений, тем крепче убеждения! Спасибо Вам за то, что Вы открыты для диалога!

Я очень четко понимаю, что речь идет именно о ГИС (иногда заносит - извините), мое мнение: ГИС это «узловая» система, которая может (должна иметь возможность) иметь открытый интерфейс в отношении ИС организаций и предприятий, поэтому и начинать то, по хорошему, надо было именно с ГИС. А потом то все просто, принцип «наследования» никто не отменял еще.

Далее, я на 100% согласен с Вашим убеждением, что «Любая западная «бест практикс» предполагает детальное описание каждой процедуры. Это непреложное правило.» Вы даже не представляете как Вы правы. Вопрос: А что нам-Вам мешает пойти по этому пути? Сделайте документ таким, что бы при классификации ИС, у «меня как профессионала-лицензиата» или как у «новичка оператора» не было шансов на двоякое толкование терминов или принятие решения! Ну начните хотя-бы с однозначного толкования: «Так нужна ли лицензия ДЛЯ СЕБЯ?» и что бы как по закону?

«кроме разработки документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации (кстати, это может быть и один документ)»   а ну как сделать такой документ централизовано, раздать всем и предписать всем им пользоваться, ведь что будет то: один умный, что то такое исполнит, выложит в Интернет, остальные скопируют и будут предъявлять регулятору при проверке, а он просто поставит галочку в своем Формуляре не вдаваясь в подробности! И не сомневайтесь на счет 99% циркуляров по ПД в топку, я не смеюсь и не утрирую, спросите у любого оператора.

up
15 users have voted.
Аватар пользователя Игорь Ю Шахалов

Константин, позвольте задать вопрос про "лицензию для себя".

Вы, очевидно, имеете в виду лицензирование деятельности по ТЗКИ при защите персональных данных?

Тогда ответьте пожалуйста на простой вопрос - кому принадлежат Ваши персональные данные? Вашему работадателю, Вашей семье или Вам лично? Заметьте, я не спрашиваю про служебную или коммерческую тайну, которая принадлежит не Вам лично, я не говорю про семейную тайну, которая принадлежит Вам тоже, но Ваши персональные данные могут не полностью относиться к семейной тайне.

Получается, Константин, что Ваши персональные данные работадатель все-таки должен защищать. А если он защищает что-либо, что не принадлежит ему, он осуществляет деятельность, которая, в данном случае, подлежит обязательному лицензированию.

Странно, что эту истину приходится разъяснять старшему преподавателю по защите информации. Наши студенты с этим разбираются еще на третьем курсе...

 

По поводу полковников.

Геннадий Альбертович не один раз в своих письмах и постах упоминал, что он офицер и офицерская честь для него не пустой звук. Вот я ему, как равный по званию, и напомнил про неё. Ведь даже когда хотят сказать "Эй!" (по Вашей терминологии) надо соблюдать рамки приличий. 

Кстати, вроде и Вы где-то рядом были (говорят, КВИРТУ заканчивали?). Тем более странно, что упоминание про честь офицера Вам кажется "прикольным".

up
23 users have voted.
Аватар пользователя slonizm

Игорь Юрьевич, про студентов это Вы зря сказали) Наши с Вами студенты на 6м курсе не знают, что такое лицензирование вообще и с чем его едят, а Вы про 3й)

По поводу разгоревшейся полемики можно сказать, что существующая система по генерации бумажек мертвая и холодная. По хорошему надо расформировывать ФСТЭК, создавать экспертные коммиссии и писать все документы заново а не плодить раз за разом недоношенных детей с врожденными мутациями.

По поводу лицензии для себя) Работодатель может вообще не брать никаких ПДн, но и зарплату вы не получите... Все это обязывает делать законодательство. И получается, вы это все возьмите, а потом еще отстегните бабла, за то, что ФСТЭК вам лицензию выдаст. Коррупция) 

up
25 users have voted.
Аватар пользователя vsv

Коллеги, мне кажется, что вы говорите что-то не то. На сколько я помню текст документа, я ни разу не встречал "слово лицензия". Это, наверное, не спроста. Если подумать внимательно, то документ посвящен ГИС, то есть операторами являются государственные органы. А если посмотреть ст. 1 ФЗ-99 О лицензировании, то там четко записано: Настоящий Федеральный закон регулирует отношения, возникающие между федеральными органами исполнительной власти, органами  исполнительной  власти  субъектов  РФ, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности.

То есть, госорганы ВООБЩЕ лицензии НЕ ПОЛУЧАЮТ. Поэтому и в документе по этому поводу ничегошеньки нет.

Этот документ не затратгивает обработку ПДн у операторов. Для ПДн есть другой документ, где черным по белому написано (п.4): "Для проведения работ по обеспечению безопасности персональных данных при их обработке в информационных системах операторами и (или) уполномоченными лицами в соответствии с законодательством РФ МОГУТ привлекаться организации, имеющие лицензию на деятельность по технической защите конфиденциальной информации". Могут это не значит обязаны. Это во-первых, а во-вторых, для эксплуатации системы защиты лицензия не требуется! Это не лицензируемый вид деятельности. Так что у оператора ПДн есть выбор на этапе создания ИСПДн: либо делать самому на свой страх и риск и в этом случае получать лицензию, либо - привлекать лицензиата. И где вы видите обязательность лицензии "для себя"?

Давайте все-таки ближе к тксту.

up
24 users have voted.
Аватар пользователя vsv

Коллеги, давайте не переходить на личности. Это неприлично, тем более в офицерской среде.

По существу, Константину.

На Ваше «…поэтому и начинать то, по хорошему, надо было именно с ГИС…». Ну, так, по-моему, как раз с ГИС и начали. Анализируемые требования именно для ГИС. Так, что получается все правильно.

На Ваше «…Сделайте документ таким, что бы при классификации ИС, у «меня как профессионала-лицензиата» или как у «новичка оператора» не было шансов на двоякое толкование терминов или принятие решения!» Вот по поводу двоякого толкования терминов – соглашусь на 100%, Однако, для этого есть ГОСТы (термины и определения) и законы. Это вопрос не этого конкретного документа. Как раз в этом документе терминологический аппарат полностью совпадает с узаконенными терминами. Об этом даже в преамбуле говорится. А вто по поводу принятия решения, позволю себе не согласиться. Оператор должен иметь возможность принять решение исходя из сложившейся у него обстановки. Иначе мы всех под одну гребенку подстрижем.

На Ваше «…Ну начните хотя-бы с однозначного толкования: «Так нужна ли лицензия ДЛЯ СЕБЯ?» и что бы как по закону?..». Поймите, нельзя в один документ включить все интересующие вопросы. Это будет уже не документ, а энциклопедия. Давайте вспомним, что это все-таки документ, определяющий требования к системе защиты, а не к порядку получения лицензии. Важен ли заданный вами вопрос – наверное важен, если он возник. Как быть? Писать запрос во ФСТЭК, можно на сайте и ждать ответа. Например, А. Волков из Северстали, так и поступил.

up
23 users have voted.
Аватар пользователя Ржавский Константин

Игорь, извините что не так, только завязывается интересный разговор, а тут выяснение отношений ….., ну как бы не в контекст. Про лицензии спасибо, с Вашим мнением согласен на 100%, но как показывает практика это больной вопрос:, поясню, для оказания услуг НАДО ПОЛУЧАТЬ ОДНОЗНАЧНО, а вот для выполнения работ 99-й ФЗ однозначно ДА, а последующие ПП и НПА ФСТЭК очень красиво обходят этот вопрос (ни ДА ни НЕТ) и письма на сайте появляются, но вопрос их юридической легитимности вызывает сомнение? Если интересно отследите события и документы! Я уж не говорю про последнее письмо РКН опубликованное у них на сайте, почитайте очень интересно на кого оно рассчитано, я не знаю, например! И еще, будете наводить обо мне справки, поспрашивайте обо мне у моих выпускников, они Вам расскажут обо мне более интересные вещи!

Сергей, Вы же сами понимаете, что ФСТЭК не легитимен решить сей вопрос (наличие-отсутствие лицензии), но понимает абсурдность данного требования зафиксированного ФЗ, но ЗАКОН есть ЗАКОН и его надо исполнять. Я это к чему, при стечении некоторых обстоятельств сей пробел может привести к сведению счетов с неугодным оператором, тут или ЗАКОН или ЗДРАВЫЙ СМЫСЛ (повтор однако).

Далее, ну да все верно, первая реакция оператора – Мы сами, авось пронесет и забудется, ан нет не забывается. А самим уже как то тяжко, особенно если не в курсе что к чему + кто же знал что РКН подтянет к себе проверку ЗИ …. Думаю никуда от подробных и однозначных бизнес-процессов уйти не получится, иначе можно сразу готовить следующую редакцию Требований, Положений …… не суть важно. Это мое мнение.

Про термины вопрос: Почему ИС, а не «информационные системы, информационно-телекоммуникационные сети и средства вычислительной техники» из Указа Президента Российской Федерации от 17 марта 2008 г. N 351?

up
14 users have voted.
Аватар пользователя vsv

А соглашусь с Вами по всем пунктам!. По поводу лицензии - см. мой ответ Максиму Ремму чуть выше: это документ для госорганов (а обсуждаем мы сейчас именно его), а госорганы ВООБЩЕ лицензии НЕ ПОЛУЧАЮТ. Поэтому и в документе по этому поводу ничегошеньки нет.

По поводу сведения счетов - тоже реально. Но, поводов для сведения счетов можно найти не только в лицензии. Кстати, я пока не слышал, чтобы применили санкции именно из-за отсуствия лицензии.

По поводу методички. Почитайте у Лукацкого - такие документы готовятся. Могу сказать, что мое общение с руководством ФСТЭК в последнее время убедило меня в том. что методички "что и как" делать по каждому неясному вопросу - стоят в плане и будут выходить (правда ссылаются на нехватку людей, то делают). Так что и здесь проблема решается, может только не так быстро как хотелосьбы. Он, Вы же знаете, что быстро только кошки родятся.

Про термины.  Для информационно-тетекоммуникационных сетей главное - это закрыть канал. А это только криптография, а это прерогатива ФСБ. Посмотрим, что у них будет. СВТ - на мой взгляд требования к ИС поглощают требования к СВТ. Вот и осталась ИС.

up
23 users have voted.
Аватар пользователя Игорь Ю Шахалов

Константин, добрый вечер!

Разрешите немного Вас поправить – это не выяснение отношений, отнюдь!

Это была просто реплика по поводу Вашего постскриптума в предыдущем посте.

И справки я о Вас не наводил – опять-таки вопрос о наших персональных данных и социальных сетях – как определить ценность и закрытость информации, которую мы сами же и пускаем в открытый доступ.

Если я Вас ненароком задел, не взыщите и не обессудьте – не имел такой цели.

 

А вот Ваш с Сергеем Викторовичем диспут весьма понравился и по глубине своей и по интенсивности.

Честное слово, читать было интересно. Подобные дискуссии заставляют взглянуть на проблему несколько с иной стороны.

Спасибо!

up
16 users have voted.
Аватар пользователя Ржавский Константин

Спасибо на этом! Рад, что диалог состоялся, может чего и выйдет из такого общения. Жаль что маловато народу подтянулось, потом пенять не на кого будет.

Ну да ладно, если созрею до чего-нибудь более конструктивного постучу к Вам в личку, если не против?

up
22 users have voted.
Аватар пользователя vsv

Не против ...

up
20 users have voted.
Аватар пользователя Ржавский Константин

Сергей Викторович! И все таки позвольте с Вами не согласиться:

up
13 users have voted.
Аватар пользователя Игорь Ю Шахалов

Константин, спасибо за подсказку про ГОСТ.

Вы дополнили мою "цепочку" обоснования необходимости получения лицензии.

up
20 users have voted.
Аватар пользователя Ржавский Константин

Пожалуйста, мы завсегда с народом! А про остальное наверное уже завтра.

up
26 users have voted.
Аватар пользователя vsv

Константин, начнем по порядку.

up
23 users have voted.
Аватар пользователя Ржавский Константин

Всем Привет!

По поводу ст.1 ФЗ№99 – почитал комментарии к ФЗ – согласен.

По поводу требований 79 ПП все-таки пришли к единому, как я понял, надо указать точно и что бы не было запросов во ФСТЭК «надо-не надо». Если внести однозначное толкование – то повода к сговору, по этой проблеме, просто не будет.

Имелся в виду п.8.10 (Меры по защите информационной системы, ее средств и систем связи и передачи данных должны обеспечивать защиту информации при взаимодействии сегментов информационной системы, информационной системы с иными информационными системами и информационно-телекоммуникационными сетями) проекта документа «СОСТАВ И СОДЕРЖАНИЕ ОРГАНИЗАЦИОННЫХ И ТЕХНИЧЕСКИХ МЕР ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ В ИНФОРМАЦИОННЫХ СИСТЕМАХ ПЕРСОНАЛЬНЫХ ДАННЫХ». У ИС не может быть, по определению из 149 ФЗ, систем связи и передачи данных. Согласно ГОСТ 34 003-90 Информационная технология это приемы способы и методы применения СВТ при выполнении функций сбора, хранения, обработки, передачи и использования данных. Речь идет всего лишь об отдельном СВТ из состава ИС, даже не ИС в целом! А уж к остальным системам (связи и передачи данных) относится не может однозначно!

Далее, Сергей Викторович предлагаю кардинально сократить перечень мер, убрав меры напротив которых в таблице пропуски, при этом немного подкорректировав п.13. Например: Было «13. При использовании в информационных системах новых информационных технологий и выявлении дополнительных угроз безопасности персональных данных, для которых в настоящем документе не определены меры по обеспечению безопасности персональных данных, должны разрабатываться компенсирующие меры в соответствии с пунктом 10 настоящего документа.

up
21 user has voted.
Аватар пользователя vsv

Уважаемый Константин. Сначала давайте расставим точки над i. Я не являюсь разработчиком документа. Я такой же "критик" и независимый эксперт, как и Вы и высказываю только свою точку зрения (правда. она часто совпадает с мнением ФСТЭК). Поэтому предложения надо адрессовать не мне, а ФСТЭК. А теперь по существу.

Мне кажется, Вы заблуждаетесь, используя термин "информационная система". В данном случае правильнее использовать терминологический аппарат ФЗ-152. А там введен термин "информационная система персональных данных" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств (п.10, ст 3.) Кстати, именно так в заглавии документа. В этом случае все становится на свои места.

По поводу "пустых" мер. Мне это тоже сразу непонравилось, однако, я дочитал документ до конца. Если прочитать самую последнюю фразу документа " Меры по обеспечению безопасности персональных данных, не обозначенные знаком "+" применяются при адаптации базового набора мер, дополнения адаптивного базового наборамер, а такжепри разработке компнесирующих мер по обеспечению безопасности соотвествующего уровня защищености" все становится на свои места. Из разговоров с представителями ФСТЭК я понял, что "пустоты" заложены с умыслом: показать что такие меры есть. То есть эти меры надо расценивать как дополнительные, необязательные.

 А вто по поводу доказывания, я не соглашусь. Доказывать обязательно надо, но не то, что эти меры не применяются (они и так из-за отсутствия "+" не входят в базовый набор), а то, что этими мерами МОЖНО компенсировать угрозы. Например, мера ЗИС.18. Это по сути своей применение технологии терминального доступа. Если используется, как дополнительная именно эта мера, можно с чистой советью исключить ОЦЛ.3 (антивирусная защита) на рабочей станции. И это легко обосновывается.

 

 

up
24 users have voted.
Аватар пользователя vsv

Да что такое! Третий раз пытаюсь ответить и не получается. Пробую еще раз.

Константин, попробуйте использовать вместо термина "информационные системы" терминологический аппарат из ФЗ-152: "ниформационные стистемы персональных данных" Там определение шире. все встанет на свои места.

По поводу пустот. Рассматривайте эти меры как дополнительные, а дказывать надо не то что их ненадо применять. а то. что они компенсируют угрозы. Пример. ЗИС.18 - терминальный доступ. Используя его можно забыть по ОЦЛ.3 (антивирусная защита) для рабочей станции

up
17 users have voted.
Аватар пользователя vsv

(Что не получилось с первого раза опубликовать, повторюсь) Константин, давайте для начала расставим точки над "i". Я не разработчик документа, атолько "критик" и независимый эксперт, как и Вы. Предложения надо адресовать ФСТЭК.

Теперь по существу.

Мне кажется, Вы заблуждаетесь используя термин "инфолрмационные системы". Здесь, в данном случае правильнее использовать терминологический аппарат ФЗ-152. А там введен термин "информационные системы персональных данных" - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.  Кстати, именно так в заглавии документа и это все ставит на свои места.

По поводу "пустот". Мне первоначально это тоже не понравилось, Однако, когда я дочитал документ до конца, последняя фраза все поставила на свои места: " Меры по обеспечению безопасности персональных данных, не обозначенные знаком «+» применяются при адаптации базового набора мер, дополнения адаптированного базового набора мер, а также при разработке компенсирующих мер по обеспечению безопасности персональных данных соответствующего уровня защищенности." Просто эти "пустые" меры надо расценивать как дополнительные. Так мне и обяснили во ФСТЭК.

А вот по поводу доказательства - не соглашусь. Доказывать надо, но не то, что эти меры не надо применять, а то. что они компенсируют угрозы. К примеру, мера ЗИС. 18 это по своей сути использрвание теримнальных технологий досупа. Но в случае применения этой меры можно не применять меру ОЦЛ.3 (антивирусная защита) на рабочей станции. И это легко обосновывается.

up
13 users have voted.
Аватар пользователя Ржавский Константин

Сергей Викторович! Не убедили не по одному из пунктов:

  1. Декомпозиция понятия ИСПДн описана в 152ФЗ, это (состоит из) – БД, ИТ, ТС. Понятие средства и системы связи и передачи данных (ССПД) описаны в ГОСТ 17657-79 (это канал электросвязи, аппаратура объединения и разделения сигналов, аппаратура передачи данных, мультиплексор) и др. стандартах по связи и телекоммуникациям – уверяю Вас это не одно и тоже! ИСПДн и ССПД – это уровень систем, их составляющие – уровень подсистем! Если мы не разделим это в Проекте документов, мы не сможем правильно спроектировать Систему ЗИ! Я не понимаю, что Вас смущает в 351-м Указе Президента, про криптографию я понял, но п.8.10 остался. Тут или понятие ИСПДн надо менять (нет прав – ЗАКОН однако) или описывать как оно есть.
  2. Умысел ФСТЭК не понятен, во-первых избыточность  мер, как информации, ведет к накоплению ошибок, во-вторых неоднозначность в выборе мер настораживает. Это я к вопросу описания действий по реализации мер, через бизнес-процессы!
  3. «Доказывать обязательно надо, но не то, что эти меры не применяются (они и так из-за отсутствия "+" не входят в базовый набор), а то, что этими мерами МОЖНО компенсировать угрозы.» - чем меньше кто-то кому-то что-то будет доказывать, тем быстрее будут проходить проверки, поменяется их стиль: с «карательного» на «мы Вам посоветуем, как сделать лучше, качественнее и эффективнее».
up
19 users have voted.
Аватар пользователя vsv

Константин, двайте еще раз прочитаем ФЗ-152 вместе, но только полностью (я же предупреждал, надо использовать терминологический аппарат ФЗ-152). Определение первое: информационные системы персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их ОБРАБОТКУ информационных технологий и технических средств. Ключевое слово - ОБРАБОТКА. Идем дальше. Определение второе: обработка ПДн - любое действие (операция) или сосокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, в ключаяя сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, ПЕРЕДАЧУ (распространение, предоставление. доступ) обезличивание, блокирование, удаление, уничтожение ПДн. Ключевое слово - ПЕРЕДАЧА.  Если все сложить вместе, получится. что ИСПДн - может использоватьт ИТ и ТС для передачи ПДн, то есть получается, что сетевое оборудование вошло в определение.

 По пункту 2. Я предложил ФСТЭК сделать отдельное приложение (из "пустот") дополнительных мер. Посмотрим. может послушают...

По пункту 3. Опять не соглашусь. Если не будет обоснования - вообще защиты не будет. Нет, НАДО обсновывать и показывать, что компенсационные меры покрывают угрозы (Кстати, это аналог 15408).

 

 

 

up
17 users have voted.
Аватар пользователя gusar

Уважаемый Сергей Викторович!

Моя точка зрения во многом совпадает с Вашей.

Проекты "Требований ... ГИС" и "Состав и собержание ... по ПДн"  надеюсь пройдут не одно "чтение и обсуждение".

Свои предложения по их корректировке направил во ФСТЭК России.

Вместе с тем, существуют вопросы требующие обсуждения.

В частности, 25.12.12  Вы аргументированно отвечали по ФЗ-99 (по поводу необходимости получения лицензии по ТЗКИ).

цитата " 1. Еще раз ВНИМАТЕЛЬНО читаем ст. 1 ФЗ-99 …  Здесь есть ДВЕ стороны отношений: госорганы с одной и юрлицами с другой...."

Я не совсем согласен с  этим утверждением.

В ст. 1  ФЗ-99 напрямую не говорится об отношениях, возникающих между госорганами с одной стороны и юрлицами или индивидуальными предпринимателями с другой.

Рассмотрим «…отношения, возникающие МЕЖДУ (!) федеральными органами исполнительной власти, органами  исполнительной  власти  субъектов  РФ, юридическими лицами и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности…»  более пристально. Получим ГРАФ (четыре объекта и связи между ними, в том числе замкнутые циклы на самих себя).

Таким образом, данная статья 99-ФЗ уравнивает всех, т.е. если ЖЕЛАЕТЕ заниматься лицензируемыми видами деятельности,  то никто вам не может отказать в получении нужной лицензии.

Кроме того, в основополагающих документах на госорган  (например, в «Положении о …») обычно прописан такой отдельный вид деятельности (деятельность по ТЗКИ) на основании которого можно, или точнее нужно, получать даже госоргану лицензию по ТЗКИ.

Вместе с тем, ФСТЭК России по данному вопросу РАЗЪЯСНИЛА (см. информационное письмо №240/22/2222 от 30 мая 2012 г.):

up
27 users have voted.
Аватар пользователя vsv

Коллега, посмотрите постатейный комментарий к закону: " В данной статье определяется сферу применения Федерального закона "О лицензировании отдельных видов деятельности". Комментируемый закон регулирует отношения между федеральными органами исполнительной власти, органами исполнительной власти субъектов Российской Федерации, с одной стороны, и юридическими лицами и индивидуальными предпринимателями, с другой стороны, возникающие в связи с осуществлением лицензирования отдельных видов деятельности.

http://www.prozakon.su/a46/

 Более полный развернутый комментарий доктора юридических наук А.Б. АГАПОВ. который придерживается такой же точки зрения можно найти здесь http://www.lawmix.ru/commlaw/2055

 Так что, думаю, не надо изобретать велосипед.

В письме же ФСТЭК говорится о ходяйствующих субъектах, а не о госорганах.

И еще, посмотрите внимательно главу 4 ГК РФ. "Юридические лица". В этой главе Вы не найдете госорганы. А вот в 5 главе ГК РФ "Глава 5. Участие Российской Федерации, субъектов Российской Федерации, муниципальных образований в отношениях, регулируемых гражданским законодательством, вы как раз найдете госорганы, которые выступают от лица Российской федерации.
 

 Так, что все-таки ДВЕ стороны...

up
14 users have voted.
Аватар пользователя gusar

Сергей Викторович.

Нисколько не сомневаюсь в Вашей компетенции, но ответа я так и не получил.

                  Во-первых,  внимательно посмотрел постатейный комментарий к закону доктора юридических наук А.Б. АГАПОВА (http://www.lawmix.ru/commlaw/2055). 

Выяснил: нет там такого, что все-таки ДВЕ стороны. Ну нет и всё тут.

"Решающим методом обеспечения целей лицензирования, определенных ч. 1 п. 1 ст. 1 комментируемого Федерального закона, является обеспечение частноправовых интересов юридических лиц и индивидуальных предпринимателей"

Да, очень грамотно все расписано для ч. 1 ст 1. 99-ФЗ , но не сказано что федеральным органам исполнительной власти, органам исполнительной власти субъектов Российской Федерации лицензии, например, по ТЗКИ в соответствии с 99-ФЗ получить нельзя. Про муниципальные органы вообще в этом ключе ничего не сказано.

 То, что федеральные органы исполнительной власти, органы исполнительной власти субъектов Российской Федерации, а частных случаях (при делегировании полномочий) и муниципальные органы являются органами по лицензированию - сомнению не подлежит.

Но разве орган исполнительной власти субъекта Российской Федерации (например, управление или служба безопасности и информационноый защиты субъекта РФ) не может получить лицензию по ТЗКИ? Откажут? А основание?

              Во-вторых,  анализ постатейного коментария для ч.1 ст 1 99-ФЗ (http://www.prozakon.su/a46/) показал, что и там никакого объяснения не приведено. Просто констатируется факт:

up
11 users have voted.
Аватар пользователя Атаманов Геннадий

 

В своих комментариях к 152-ФЗ (Инсайд. № 1 – 3, 2012) я написал, что приведенное в законе перечисление «федеральными органами государственной власти, органами государственной власти субъектов Российской Федерации, иными государственными органами (далее - государственные органы), органами местного самоуправления, иными муниципальными органами (далее - муниципальные органы), юридическими лицами и физическими лицами» является методологической ошибкой, и что «здесь допущено грубейшей нарушение логического закона деления, который гласит, что при проведении классификации (перечисление – простейший вид классификации) основание (признак, по которому осуществляется идентификация) должен оставаться неизменным. Здесь же федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, иные государственные органы, органы местного самоуправления, иные муниципальные органы - понятия территориально-административные, юридические и физические лица - понятия хозяйственно-юридические. Все органы власти состоят из юридических и физических лиц».  

Чтобы сделать эту мысль более наглядной, воспользуюсь  органической теорией Г.Спенсера, который рассматривал социальный организм по аналогии с биологическим. Юридические лица – это органы социального организма, каковыми являются органы государственной власти и органы местного самоуправления. Получается, что Вихорев, противопоставляя органы государственной власти (и ОМСУ) юридическим лицам, противопоставляет печень, сердце, лёгкие и другие органы всему организму, т.е. человеку!? Есть и художественные произведения, в которых в качестве литературного приёма используется подобное противопоставление  - «Нос» Н.В.Гоголя. То есть, С.В.Вихорев, применяя такое противопоставление, превращает 152-ФЗ (и не только его, а все НПА, где используется подобное перечисление) в гоголевский «Нос»?!

up
23 users have voted.
Аватар пользователя vsv

Уважаемый коллега, и все-таки Вы заблуждаетесь.  Давайте разбираться вместе и проведем анализ ст. 1 закона.

Част 1 ст. 1 ФЗ-99 гласит: « Настоящий Федеральный закон регулирует отношения, возникающие  между федеральными органами исполнительной  власти, органами исполнительной власти субъектов Российской Федерации, юридическими  лицами  и индивидуальными предпринимателями в связи с осуществлением лицензирования отдельных видов деятельности».

Начнем с русского зыка (стилистический анализ). Одно из правил русского языка гласит: «Между однородными членами предложения, не соединенными союзами, ставится запятая: Бледно-серое небо светлело, холодело, синело».  При стилистическом изучении однородных членов предложения специальный интерес вызывают их функционирование в разных стилях. В книжных стилях часто употребляются однородные члены предложения, которые выступают как важнейшее средство подробного описания предметов, их свойств, а также различных явлений, процессов и т.п. Особая полнота и точность перечисления однородных понятий – обязательное требование к языку законов, постановлений в официально-деловом стиле. В книжных стилях перечисление нередко выглядит как длинная цепочка однородных членов, причем в их сочиненном ряду, как правило, преобладает бессоюзная связь. (Голуб И.Б. «Стилистика русского языка», Учебное Пособие. Московский государственный университет печати.  http://www.hi-edu.ru/e-books/xbook028/01/part-028.htm ).

up
21 user has voted.
Аватар пользователя gusar

Уважаемый Сергей Викторович!

Спасибо огромное за детальное разъяснение.

Некоторые вопросы конечно же остались, но я не хотел бы их  обсуждать в рамках данного блога.

Коллеги, простите за настойчивость в "поисках истины".

               Сергей Гуща.

P.S. Перечитал ещё раз 99-ФЗ. Нашел для себя ответ: см. статья 3 п. 5) и 6). С учетом того, что в ч. 1 ст. 1 99-ФЗ перечислены объекты отношений, то отсутствие госорганов в качестве лицензируемых лиц очевидно.

up
22 users have voted.
Аватар пользователя Атаманов Геннадий

Сергей Викторович!

Только без обид! Вы действительно не понимаете или не хотите понять? Я уже несколько раз писал, что я не анализирую этот закон с точки зрения законодательства. Это удел юристов. Сами наколоворотили, сами пусть и объясняют. Я достаточно наглядно показал (а Вы, кстати, в своем пространном посте подтвердили и с правовой точки зрения), что это разносущностные понятия. 

Не стоит заниматься подменой понятий. Это не продуктивно! Однородные члены предложения с точки зрения правил русского языка могут быть разносущностными понятиями с точки зрения логики. Здесь речь идёт именно об этом. Если перевести это на совсем бытовой язык, то лучше, чем мой первый командир, не скажешь: "Кровь, дерьмо, песок и сахар". Всё перечисленное в цитате - однородные члены предложения, но АБСОЛЮТНО разносущностные понятия. А в законе они ещё и разноуровневые, т.е. являются системами различного структурного уровня сложности. В физическом мире различают, как правило, 3 уровня: мега, макро и микро. Поведение объектов различных уровней описываются различными законами. В астрономии - одни, в квантовой механике - другие. В социальных законах необходимо соблюдать тот же принцип - не смешивать разноуровневые понятия! По-моему это настолько очевидно, что уже не требует дополнительных объяснений и, тем более, дебатов. Зачем с упорством, достойным лучшего применения, отстаивать заведомо ошибочную позицию? Давайте прекратим переливание из пустого в порожнее. Народ уже устал. Да и Новый Год на носу! Так что,

С НОВЫМ ГОДОМ , С НОВЫМ СЧАСТЬЕМ! Успехов в новом году!

Будет желание, в каникулы можем вернуться к этой теме, а лучше найдём другую. Актуальных тем полно. Там может быть наши позиции будут ближе, а то и полностью совпадут. Чем чёрт не шутит ...

up
13 users have voted.
Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.